Seguridad · Agentic AI

AI agentiva AI un problema oculto:
La delegación incontrolada

La mayoría de las organizaciones se centran en la inyección rápida, la seguridad de los modelos y la privacidad de los datos. Todo ello es importante. Pero está surgiendo un problema aún más peligroso en los sistemas basados en agentes: la delegación incontrolada de acceso entre agentes.

Dos sistemas de agentes de IA: Gobernanza IA basada en agentes Gobernanza IA  risk de delegación

La mayoría de las organizaciones que desarrollan sistemas de AI se centran en los aspectos adecuados: la inyección de prompts, la seguridad de los modelos y la privacidad de los datos. Se trata de riesgos reales que merecen toda nuestra atención. Sin embargo, en los entornos con agentes se está gestando silenciosamente un problema aún más peligroso: la delegación incontrolada de acceso entre agentes.

¿Qué está pasando?

En AI modernos AI , los sistemas ya no están aislados. Están interconectados:

Los agentes llaman a otros agentes (A2A) Los agentes coordinadores invocan dinámicamente a subagentes para gestionar flujos de trabajo paralelizados, cada uno con su propio acceso y sus propias capacidades.
Las capas de orquestación (tipo MCP) distribuyen las tareas de forma dinámica Las tareas se distribuyen en tiempo de ejecución en función del contexto y la disponibilidad, y no según configuraciones estáticas aprobadas previamente.
Las herramientas, las API y las fuentes de datos se encadenan entre sí Una sola solicitud de un usuario puede desencadenar una cadena de interacciones de agentes, llamadas a herramientas y recuperaciones de datos que el usuario nunca ha autorizado explícitamente de forma individual.

Esto genera vías de confianza implícitas, y la mayoría de las organizaciones carecen de controles para detectarlas, y mucho menos para gestionarlas.

Un ejemplo concreto

Escenario de delegación: no se ha detectado ninguna infracción
Agente A
Tiene acceso a datos confidenciales Autorizado. Limitado. Registrado en el momento del aprovisionamiento.
↓ delega la tarea a
Agente B
NO tiene acceso a datos confidenciales No está autorizado, pero pide al agente A que recupere los datos en su nombre.
↓ resultado
Sistema
Cumple con los requisitos. No hay alertas. No hay infracciones. Simplemente un comportamiento «normal». El acceso se ha producido. Los datos se han transferido. No hay nada en los registros que parezca incorrecto.

El problema no es el acceso. Es la delegación.

Ya no nos enfrentamos a la pregunta de seguridad tradicional:

«¿Quién tiene acceso?»

Nos enfrentamos a una cuestión fundamentalmente diferente:

«¿Quién puede hacer que se produzca el acceso?»

En los sistemas agentivos, la confianza se vuelve transitiva. Los privilegios se vuelven combinables. Los límites se difuminan. Esto conduce a:

Escalada indirecta de privilegios Un agente que carece de un permiso lo obtiene routing a través de un agente que sí lo tiene.
Ejecución no autorizada de herramientas Los agentes invocan herramientas y API para las que nunca han recibido autorización directa, a través de cadenas de delegación.
Colapso de los límites de los datos Los datos sensibles traspasan los límites de clasificación porque el agente que los delega tenía acceso legítimo, aunque el agente receptor no lo tuviera.
Movimiento lateral impulsado por comandos Un agente manipulado propaga instrucciones maliciosas de forma lateral a través de la red de agentes, a la velocidad de la máquina y sin que el ser humano lo detecte.

Y lo más preocupante es que, a menudo, parece un comportamiento totalmente legítimo del sistema.

Este es un problema clásico… pero con un nuevo enfoque

Los profesionales de la seguridad lo reconocerán de inmediato: se trata del «problema del adjunto confundido».

Se manipula a un sistema que cuenta con autoridad legítima para que ejerza dicha autoridad en nombre de algo que no debería tenerla. Ahora, replantéate ese problema de la siguiente manera:

DistribuidoRepartido entre docenas de agentes, herramientas y API: sin un único límite de sistema.
AutónomoQue funciona sin necesidad de instrucciones humanas en cada paso; que razona y actúa de forma independiente.
A la velocidad de una máquinaCompleta en milisegundos lo que a un atacante humano le llevaría horas ejecutar manualmente.

En qué aspectos fallan la mayoría de las organizaciones

✓ Estar protegido

  • Modelos y criterios de inferencia
  • API y capas de integración
  • Infraestructura

✗ No está protegido

  • Confianza entre agentes
  • Límites de las delegaciones
  • Propagación de la identidad
  • Control del flujo de datos

Qué hay que cambiar

Si vas a implementar AI con agentes, empieza por responder a estas preguntas:

¿Puede el agente A delegar su autoridad al agente B?¿Esa delegación es explícita, está limitada a un ámbito concreto y queda registrada, o es implícita e ilimitada?
¿Se registra la delegación en cada paso?No solo en la capa de orquestación, sino en cada interacción entre agentes de la cadena.
¿Pueden los agentes invocar herramientas de forma indirecta a través de otros agentes?Y, en caso afirmativo, ¿se policy en el momento de la invocación indirecta?
¿Controlas cómo se transfieren los datos entre los agentes?¿Se realiza un seguimiento del linaje de los datos a lo largo de todo el gráfico de interacción de los agentes?

Lo que esto requiere

Identidad sólida del agente, no credenciales compartidas. Cada agente necesita una identidad única e intransferible con permisos explícitos y de alcance limitado.
Delegación con alcance y plazo definidos: cualquier facultad que un agente transfiera a otro debe tener un alcance explícito y un plazo de vigencia. No se admiten delegaciones indefinidas.
Controles basados en capacidades, no solo en el acceso basado en roles. Lo que un agente puede hacer debe estar tan estrictamente controlado como lo que puede ver.
Policy en la capa de orquestación: los controles deben existir allí donde se toman las decisiones de delegación, y no solo en los límites del sistema.
Trazabilidad completa de las interacciones de los agentes: la cadena de delegación completa, no solo la solicitud inicial y la acción final.
El linaje de los datos como medida de seguridad: permite realizar un seguimiento de qué agentes han accedido a los datos, los han transformado o los han transmitido, y con qué autorización.

Reflexión final

En los sistemas tradicionales: se concede el acceso.

En los sistemas agenticos: el acceso se propaga.

Si no controlas la delegación, no controlas el sistema.

#Ciberseguridad #IA #IAGenerativa #IAagencial #SeguridadIA CISO #ConfianzaCero OneCompliant

Evalúa tu AI agentiva

OASAT OneCompliant analiza sus sistemas de IA en relación con risk gobernanza, seguridad y delegación risk elabora una hoja de ruta de medidas correctivas priorizadas en un plazo de 4 a 6 semanas.